View a markdown version of this page

Coleta abrangente de ecossistemas do Amazon Inspector SBOM Generator - Amazon Inspector
Ecossistemas compatíveis7-Zip coleção de ecossistemasAmazon Q Developer coleção de ecossistemasApache coleção de ecossistemasAtlassian coleção de ecossistemasClaude Code coleção de ecossistemasConda coleção de ecossistemasCurl coleção de ecossistemasCursor coleção de ecossistemasBinários do Docker coleção de ecossistemasElasticsearch coleção de ecossistemasAI/ML Modelos genéricos coleção de ecossistemasGitHub Copiloto coleção de ecossistemasGoogle coleção de ecossistemasHuggingFace coleção de ecossistemasJava coleção de ecossistemasJenkins coleção de ecossistemasKiro CLI coleção de ecossistemasMariaDB and MySQL coleção de ecossistemasAplicativos da Microsoft coleção de ecossistemasMicrosoft SQL Server coleção de ecossistemasMongoDB coleção de ecossistemasNginx coleção de ecossistemasNode.JS coleção de tempo de execuçãoOllama coleção de ecossistemasColecionador de modelos Ollama coleção de ecossistemasColeta de ecossistemas do OpenSSHColeta de ecossistema OpenSSLColeta do Oracle Database ServerPHP coleção de ecossistemasRedis coleção de ecossistemasWindsurf coleção de ecossistemasWordPress coleção de ecossistemasZed coleção de ecossistemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Coleta abrangente de ecossistemas do Amazon Inspector SBOM Generator

O Amazon Inspector SBOM Generator é uma ferramenta para criar uma lista de materiais de software (SBOM) e executar a verificação de vulnerabilidade de pacotes compatíveis de sistemas operacionais e linguagens de programação. Ele permite a verificação de vários ecossistemas além dos sistemas operacionais principais, garantindo uma análise robusta e detalhada dos componentes da infraestrutura. Ao gerar um SBOM, você pode entender a composição das pilhas de tecnologia modernas, identificar vulnerabilidades nos componentes do ecossistema e obter visibilidade do software de terceiros.

Ecossistemas compatíveis

A coleta de ecossistemas amplia a geração de SBOM para além dos pacotes instalados por meio de gerenciadores de pacotes do sistema operacional. Isso é feito por meio da coleta de aplicações implantadas em métodos alternativos, como instalação manual. O Amazon Inspector SBOM Generator permite a verificação dos seguintes ecossistemas:

Ecossistemas Aplicativos

7-Zip

7-Ziparquivador (versão 21.07 e superior)

Amazon Q Developer

Amazon Q Developer CLI

Amazon Q VS Code extension

Amazon Q JetBrains plugin

Anthropic

Claude Code CLI

Anysphere

Cursor

Apache

Apache Cassandra

Apache httpd

Apache Struts

Apache tomcat

Atlassian

Jira Core

Confluence

Jira Software

Jira Service Management

Codeium

Windsurf

Conda

Miniconda Ambientes do

Anaconda Ambientes do

Miniforge Ambientes do

Mambaforge Ambientes do

Curl

Curl

Libcurl

Docker binaries

docker

dockerd

containerd

runc
Elasticsearch Elasticsearch

Generic AI/ML Models

.gguf – GGUF

.safetensors – Safetensors

.onnx – ONNX

.pt – PyTorch

.pth – PyTorch

.h5 – Keras / HDF5

GitHub

GitHub Copilot CLI

GitHub Copilot VS Code extension

GitHub Copilot JetBrains plugin

Google

Chrome

HuggingFace

HuggingFace CLI Models Cache

Java

JDK

JRE

Amazon Corretto

Jenkins

Jenkins(versão 2.400.* e superior)

Kiro

Kiro CLI

MariaDB e MySQL

MariaDB Server(10,6+, 11,x, 12,x)

Oracle MySQL Server Server(8,0, 8,4, 9,4+)

Microsoft applications

PowerShell

NuGet CLI

Visual Studio Code

Microsoft Edge

SharePoint Server

Microsoft Defender

Exchange Server

Visual Studio

.NET Core Runtime

.NET Framework

ASP.NET Core Runtime

Microsoft Teams

Outlook for Windows

Microsoft Office

Microsoft 365

Microsoft SQL Server

Microsoft SQL Server

MongoDB

MongoDB Server(7,0+, 8,0+)

Nginx

Nginx

Node

Node

Node.JS

node

Ollama

Ollama

Ollama Model Collector

OpenSSH

OpenSSH (versões 9 e 10)

OpenSSL

OpenSSL

Oracle

Oracle Database Server

PHP

PHP(versão 8.1 e superior)

Redis

Redis(versão 7.2 e superior)

WordPress

core

plugin

theme

Zed Industries

Zed

7-Zip coleção de ecossistemas

Aplicações compatíveis

  • 7 Arquivador Zip (versão 21.07 ou superior)

Recursos principais

  • Examina os 7-Zip binários para extrair as informações da versão incorporada.

nota

Especificamente, ele pesquisa o valor da versão do produto no binário.

Plataformas suportadas — Windows

  • C:/Program Files/7-Zip/7z.exe

  • C:/Program Files/7-Zip/7za.exe

  • C:/Program Files/7-Zip/7zz.exe

  • C:/Program Files/7-Zip/7zr.exe

  • C:/Program Files (x86)/7-Zip/7z.exe

  • C:/Program Files (x86)/7-Zip/7za.exe

  • C:/Program Files (x86)/7-Zip/7zz.exe

  • C:/Program Files (x86)/7-Zip/7zr.exe

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do 7-Zip. 

pkg:generic/7zip/7zip@25.01

Amazon Q Developer coleção de ecossistemas

Aplicações compatíveis

  • Amazon Q Developer CLI

  • Amazon Q VS Code extension

  • Amazon Q JetBrains plugin

Recursos principais

  • Examina o binário da q CLI para a string de identidade AmazonQ-For-CLI incorporada e extrai a versão dos metadados do agente de usuário do conjunto AWS de ferramentas.

  • Para extensões do IDE, analisa package.json (VS Code) e META-INF/plugin.xml (JetBrains) para extrair a versão.

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns entre diferentes plataformas:

Linux and macOS

  • ~/.local/bin/q

  • /usr/local/bin/q

  • ~/.vscode/extensions/amazonwebservices.amazon-q-vscode-*/

  • <IDE>/plugins/amazon-q/META-INF/plugin.xml

Windows

  • %APPDATA%\npm\q.cmd

  • %USERPROFILE%\.vscode\extensions\amazonwebservices.amazon-q-vscode-*\

  • %APPDATA%\JetBrains\<IDE>\plugins\amazon-q\

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do Amazon Q Developer. 

Sample PURL: pkg:generic/amazon/amazon-q@1.19.7?distro=linux

Apache coleção de ecossistemas

Esta seção fornece detalhes sobreApache Cassandra,Apache httpd,Apache Struts, e Apache tomcat aplicativos.

Apache Cassandra

Aplicações compatíveis

  • Apache Cassandra

Recursos principais

  • Descobre apache-cassandra-<specific.version>.jar arquivos e os descompacta para extrair a string da versão da Implementation-Version entrada dentro do arquivo. META-INF/MANIFEST.MF

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns entre diferentes plataformas:

Linux

  • /usr/share/cassandra/lib/

  • /opt/cassandra/lib/

macOS

  • /opt/homebrew/Cellar/cassandra/

  • /usr/local/Cellar/cassandra/

Windows

  • /Program Files/cassandra/lib/

  • /Program Files/apache-cassandra/lib/

  • /Program Files (x86)/cassandra/lib/

  • /Program Files (x86)/apache-cassandra/lib/

Exemplo versão específica do apache-cassandra. < > jar/META- INF/MANIFEST.MF arquivo

Veja a seguir um exemplo dos conteúdos em um arquivo apache-cassandra-<specific.version>.jar/META-INF/MANIFEST.MF. 


//truncated

Manifest-Version: 1.0
Implementation-Title: Cassandra
Implementation-Version: 4.1.3
Implementation-Vendor: Apache

//truncated
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote de uma aplicação Apache Cassandra. 


Sample PURL: pkg:generic/apache/cassandra@4.1.3

Apache httpd

Aplicações compatíveis

  • Apache httpd

nota

A avaliação de vulnerabilidade aplica-se somente ao Apache httpd versão 2.0 ou posterior.

Recursos principais

  • Analisa o arquivo /include/ap_release.h para extrair as macros de instalação, que contêm strings de identificadores de versões principais, secundárias e de patch.

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns entre diferentes plataformas:

Unix

  • /usr/local/apache2/include/

Windows

  • /Apache24/include/

  • /Program Files/Apache24/include/

  • /Program Files (x86)/Apache24/include/

Exemplo ap_release.h arquivo

Veja a seguir um exemplo dos conteúdos em um arquivo ap_release.h. 


//truncated

#define AP_SERVER_BASEVENDOR "Apache Software Foundation"
#define AP_SERVER_BASEPROJECT "Apache HTTP Server"
#define AP_SERVER_BASEPRODUCT "Apache"

#define AP_SERVER_MAJORVERSION_NUMBER 2
#define AP_SERVER_MINORVERSION_NUMBER 4
#define AP_SERVER_PATCHLEVEL_NUMBER   1
#define AP_SERVER_DEVBUILD_BOOLEAN    0

//truncated
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote de uma aplicação Apache httpd. 


Sample PURL: pkg:generic/apache/httpd@2.4.1

Apache Struts

Aplicações compatíveis

  • Apache Struts

Recursos principais

  • Detecta struts2-core-<specific.version>.jar arquivos (normalmente implantados dentro do WEB-INF/lib/ diretório de um aplicativo web em um servidor de Java aplicativos) e os descompacta para extrair a string da versão da Implementation-Version entrada dentro do arquivo. META-INF/MANIFEST.MF

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos comuns de servidores de Java aplicativos em todas as plataformas:

Linux

  • /opt/tomcat/

  • /usr/share/tomcat/

  • /var/lib/tomcat/

  • /usr/local/tomcat/

  • /opt/wildfly/

  • /opt/jboss/

  • /opt/jetty/

Windows

  • /Program Files/Apache Software Foundation/

  • /Program Files (x86)/Apache Software Foundation/

Exemplo struts2-core - versão específica. < > jar/META- INF/MANIFEST.MF arquivo

Veja a seguir um exemplo dos conteúdos em um arquivo struts2-core-<specific.version>.jar/META-INF/MANIFEST.MF. 


//truncated

Manifest-Version: 1.0
Implementation-Title: Struts 2 Core
Implementation-Version: 6.4.0
Implementation-Vendor: Apache Software Foundation

//truncated
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote de uma aplicação Apache Struts. 


Sample PURL: pkg:generic/apache/struts@6.4.0

Tomcat Apache

Aplicações compatíveis

  • Apache tomcat

nota

A avaliação de vulnerabilidade aplica-se somente ao Apache tomcat versão 9.0 e posterior.

Recursos principais

  • Descompacta o arquivo catalina.jar para extrair as macros de instalação dentro do arquivo META-INF/MANIFEST.MF, que contém a string da versão.

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns entre diferentes plataformas:

Linux

  • /opt/tomcat/lib/

  • /usr/share/tomcat/lib

  • /var/lib/tomcat/lib/

macOS

  • /Library/Tomcat/lib/

  • /usr/local/tomcat/lib

Windows

  • /Program Files/Apache Software Foundation

  • /Program Files (x86)/Apache Software Foundation/

Exemplo catalina. jar/META- INF/MANIFEST.MF arquivo

Veja a seguir um exemplo dos conteúdos em um arquivo catalina.jar/META-INF/MANIFEST.MF. 


//truncated

Implementation-Title: Apache Tomcat
Implementation-Vendor: Apache Software Foundation
Implementation-Version: 10.1.31

//truncated
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote de uma aplicação Apache tomcat. 


Sample PURL: pkg:generic/apache/tomcat@10.1.31

Atlassian coleção de ecossistemas

Esta seção fornece detalhes sobre produtos e aplicativos de Atlassian servidor.

Produtos de servidor Atlassian

Aplicações compatíveis

  • Jira Core

  • Confluence

Recursos principais

  • Jira Core— Analisa as propriedades do Maven POM atlassian-jira-webapp para extrair as informações da versão.

  • Confluence— Analisa as propriedades do Maven POM confluence-webapp para extrair as informações da versão.

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns:

Linux

  • /opt/atlassian/jira/atlassian-jira/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.properties

  • /opt/atlassian/confluence/confluence/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.properties

Exemplo de PURL

Veja a seguir exemplos de URLs de pacotes para produtos de Atlassian servidor. 

// Jira Core
pkg:generic/atlassian/jira-core@10.0.1?distro=linux

// Confluence
pkg:generic/atlassian/confluence@9.2.7?distro=linux

Aplicativos Atlassian

Aplicações compatíveis

  • Jira Software

  • Jira Service Management

Recursos principais

  • Jira Software— Detecta via jira-software-application JAR e extrai a versão das propriedades do Maven POM.

  • Jira Service Management— Detecta via jira-servicedesk-application JAR e extrai a versão das propriedades do Maven POM.

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns:

Linux

  • /opt/atlassian/jira/atlassian-jira/WEB-INF/application-installation/jira-software-application/jira-software-application-*.jar

  • /opt/atlassian/jira/atlassian-jira/WEB-INF/application-installation/jira-servicedesk-application/jira-servicedesk-application-*.jar

Exemplo de PURL

Veja a seguir exemplos de URLs de pacotes para Atlassian aplicativos. 

// Jira Software
pkg:generic/atlassian/jira-software@10.3.9?distro=linux

// Jira Service Management
pkg:generic/atlassian/jira-service-management@10.3.9?distro=linux

Claude Code coleção de ecossistemas

Aplicações compatíveis

  • Claude Code CLI(Antrópico)

Recursos principais

  • Claude Codeé distribuído como um pacote npm (@anthropic-ai/claude-code). O scanner descobre o binário da claude CLI e package.json resolve em relação a ele usando o npm padrão <prefix>/bin/<binary> para layout. <prefix>/lib/node_modules/@anthropic-ai/claude-code/package.json

  • A versão é lida no Version: campo depackage.json.

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns entre diferentes plataformas:

Linux and macOS

  • /usr/bin/claude

  • /usr/local/bin/claude

  • ~/.local/bin/claude

  • ~/.npm-global/bin/claude

Windows

  • %APPDATA%\npm\claude.cmd

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do Claude Code. 

Sample PURL: pkg:generic/anthropic/claude-code@1.0.5?distro=linux

Conda coleção de ecossistemas

Aplicações compatíveis

  • Miniconda Ambientes do

  • Anaconda Ambientes do

  • Miniforge Ambientes do

  • Mambaforge Ambientes do

Recursos principais

  • Analisa registros de conda-meta/*.json pacotes escritos por conda e mamba em cada ambiente conda.

  • Extrai o nome do pacote, a versão, a string de construção, o subdiretório (plataforma de destino) e o tipo de arquivo (condaoutar.bz2) de acordo com o CEP 26.

  • Gera URLs de conda pacotes.

  • Filtra os arquivos macOS resource-fork (._*) e ignora registros com um nome ou uma versão vazia.

Plataformas compatíveis

Para escaneamentos de localhost, o Amazon Inspector SBOM Generator escaneia os diretórios conda-meta nos seguintes caminhos padrão do instalador e por usuário. Para escaneamentos de contêineres, diretórios e arquivos, o Amazon Inspector SBOM Generator conda-meta/*.json detecta registros em qualquer lugar na árvore.

Linux

  • /opt/conda

  • /opt/miniconda3, /opt/anaconda3, /opt/miniforge3

  • /root/miniconda3, /root/anaconda3, /root/miniforge3

  • /home/<user>/miniconda3, /home/<user>/anaconda3, /home/<user>/miniforge3

  • ~/.conda/envs/<env>

macOS

  • /opt/miniconda3, /opt/anaconda3

  • /opt/homebrew/anaconda3, /usr/local/anaconda3

  • /opt/homebrew/Caskroom/miniconda/base, /opt/homebrew/Caskroom/miniforge/base

  • /Users/<user>/miniconda3, /Users/<user>/anaconda3, /Users/<user>/miniforge3

  • ~/.conda/envs/<env>

Windows

  • C:\ProgramData\miniconda3, C:\ProgramData\anaconda3, C:\ProgramData\miniforge3

  • C:\Users\<user>\miniconda3, C:\Users\<user>\anaconda3, C:\Users\<user>\miniforge3

  • C:\Users\<user>\.conda\envs\<env>

Exemplo condá-meta caminho do registro

Veja a seguir um exemplo de caminho para um registro de conda pacote. 

/opt/miniforge3/conda-meta/numpy-1.24.0-py311h64a7726_0.json
Exemplo de PURL

Veja a seguir exemplos de URLs de pacotes para um pacote específico conda da plataforma e um pacote. noarch conda 

pkg:conda/numpy@1.24.0?build=py311h64a7726_0&subdir=linux-64&type=conda
pkg:conda/flask@3.0.0?build=pyhd8ed1ab_0&subdir=noarch&type=conda

Curl coleção de ecossistemas

Esta seção fornece detalhes sobre Libcurl aplicativos Curl e aplicativos.

Curl

Aplicações compatíveis

  • Curl

Plataformas compatíveis

  • Unix: Linux e macOS

    • /usr/local/bin/curl

Características principais — Curl

  • Examina os curl binários para extrair as informações da versão incorporada.

nota

Especificamente, ele pesquisa cadeias de versões na .rodata seção executável binária (para binários ELF no Linux), .rdata seção (para binários PE no Windows) ou seção __cstring (para binários MacHO no macOS).

Cadeia de caracteres da versão Curl

Veja a seguir um exemplo de uma string de versão incorporada em um Curl binário: 

curl/8.14.1

A versão 8.14.1 é extraída da string para identificar a Curl versão.

Exemplo de PURL (Curl)

Veja a seguir um exemplo de URL de pacote de um arquivo de versão Curl. 

Sample PURL: pkg:generic/curl/curl@8.14.1

Libcurl

Aplicações compatíveis

  • Libcurl

Plataformas compatíveis

  • Unix: Linux e macOS

    • /usr/local/bin/curl/curlver.h

Características principais — Libcurl

  • Examina curlver.h para extrair informações da versão incorporada do. Libcurl

nota

Especificamente, ele extrai a versão das LIBCURL_VERSION_PATCH variáveis definidas LIBCURL_VERSION_MAJORLIBCURL_VERSION_MINOR, e.

Cadeia de caracteres da versão Libcurl

Veja a seguir um exemplo das variáveis de versão em um curlver.h arquivo: 

#define LIBCURL_VERSION_MAJOR 8
    #define LIBCURL_VERSION_MINOR 14
    #define LIBCURL_VERSION_PATCH 1

A versão 8.14.1 é extraída dessas linhas para identificar a Libcurl versão.

Exemplo de PURL (Libcurl)

Veja a seguir um exemplo de URL de pacote de um arquivo de versão Libcurl. 

Sample PURL: pkg:generic/curl/libcurl@8.14.1

Cursor coleção de ecossistemas

Aplicações compatíveis

  • Cursor(porAnysphere)

Recursos principais

  • Examina as instalações deCursor, um editor de código de IA Electron baseado em. Anysphere Extrai a versão do manifesto resources/app/package.json Electron do aplicativo.

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns entre diferentes plataformas:

Linux

  • /usr/share/cursor/

  • /usr/bin/cursor

  • ~/.local/bin/cursor

Windows

  • %LOCALAPPDATA%\Programs\cursor\

  • <SystemDrive>\Program Files\cursor\

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do Cursor. 

Sample PURL: pkg:generic/cursor/cursor@0.42.3?distro=linux

Binários do Docker coleção de ecossistemas

Aplicações compatíveis

  • docker (docker version 20.10.18+)

  • dockerd (docker version 20.10.18+)

  • containerd (docker version 20.10.18+)

  • runc (docker version 29.0.0+)

nota

A avaliação de vulnerabilidade se aplica somente às Docker versões 25.0.0+. Versões anteriores de Docker binários podem ser coletadas, mas elas não são mais suportadas peloDocker.

Recursos principais

  • Examina binários Docker estáticos para extrair informações da versão.

Plataformas compatíveis

O gerador SBOM verifica os binários nos caminhos de instalação recomendados na documentação de instalação binária estática do Docker:

Linux

  • /usr/bin/

macOS

  • /usr/local/bin/

Windows

  • C:/Program Files/Docker/

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do Docker. 

pkg:generic/docker/docker@29.4.0
pkg:generic/docker/dockerd@29.4.0
pkg:generic/docker/containerd@2.2.2
pkg:generic/docker/runc@1.3.5

Elasticsearch coleção de ecossistemas

Aplicações compatíveis

  • Elasticsearch

nota

A avaliação de vulnerabilidade se aplica somente à Elasticsearch versão 7.17.0.

Recursos principais

  • Version— Descompacta o elasticsearch-<specific.version>.jar arquivo para extrair as macros de instalação dentro dos META-INF/MANIFEST.MF arquivos, que contêm a string da Elasticsearch versão.

Plataformas compatíveis

  • Linux/etc/elasticsearch/lib,/opt/elasticsearch/lib/, e /usr/share/elasticsearch/lib/

  • macOS/usr/local/var/lib/elasticsearch/lib/

  • Windows/elasticsearch/,/Program Files (x86)/Elastic/elasticsearch/lib/, e /Program Files/Elastic/elasticsearch/lib/

Exemplo pesquisa elástica - versão específica. < > jar/META- INF/MANIFEST.MF arquivo

Veja a seguir um exemplo de elasticsearch-<specific.version>.jar/META-INF/MANIFEST.MF arquivo. 

//truncated

Manifest-Version: 1.0
Module-Origin: git@github.com:elastic/elasticsearch.git
X-Compile-Elasticsearch-Version: 8.19.0-SNAPSHOT
X-Compile-Lucene-Version: 9.12.1
X-Compile-Elasticsearch-Snapshot: true

//truncated
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote para um elasticsearch-<specific.version>.jar/META-INF/MANIFEST.MF arquivo. 

pkg:generic/elastic/elasticsearch@8.19.0-SNAPSHOT

AI/ML Modelos genéricos coleção de ecossistemas

Aplicações compatíveis

  • Arquivos de AI/ML modelo armazenados localmente em estruturas e ferramentas comuns

Recursos principais

  • Detecta arquivos de AI/ML modelo com base na extensão de arquivo: .gguf .safetensors.onnx,,.pt,.pth, e. .h5

  • Examina diretórios de modelos comuns usados por AI/ML estruturas populares e ferramentas de inferência locais.

  • Os arquivos detectados são gerados como componentes com o tipo de machine-learning-model componente.

nota

Nenhum PURL é gerado para componentes detectados por esse coletor.

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica arquivos de modelo em caminhos comuns entre plataformas:

Linux and macOS

  • ~/.keras/models

  • ~/.cache/lm-studio/models

  • ~/.local/share/nomic.ai/GPT4All

  • ~/.jan/models

  • ~/.cache/llama.cpp

  • ~/.tabby/models

  • ~/.local/share/localai/models

  • ~/text-generation-webui/models

  • ~/ComfyUI/models

  • ~/stable-diffusion-webui/models

GitHub Copiloto coleção de ecossistemas

Aplicações compatíveis

  • GitHub Copilot CLI

  • GitHub Copilot VS Code extension

  • GitHub Copilot JetBrains plugin

Recursos principais

  • Detecta Copilot em três superfícies de instalação: CLI distribuída por npm (package.jsonresolve a partir do caminho binário por meio do layout npm), extensão VS Code (package.jsonanalisa github.copilot-<version> em diretórios; exclui a extensão github.copilot-chat-* separada) e plugin (analisa o elemento). JetBrains META-INF/plugin.xml <version>

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns entre diferentes plataformas:

Linux and macOS

  • /usr/bin/github-copilot-cli

  • /usr/local/bin/github-copilot-cli

  • ~/.local/bin/github-copilot-cli

  • ~/.vscode/extensions/github.copilot-*/

  • <IDE>/plugins/github-copilot/META-INF/plugin.xml

Windows

  • %APPDATA%\npm\github-copilot-cli.cmd

  • %USERPROFILE%\.vscode\extensions\github.copilot-*\

  • %APPDATA%\JetBrains\<IDE>\plugins\github-copilot\

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do GitHub Copilot. 

Sample PURL: pkg:generic/github/copilot@0.1.36?distro=linux

Google coleção de ecossistemas

Aplicações compatíveis

  • Google Chrome

  • Puppeteer (compatível com a biblioteca puppeteer; puppeteer-core não está incluída)

nota

Puppeteer compatível com a biblioteca puppeteer. Puppeteer-core não está incluída.

Artefatos compatíveis

O Amazon Inspector coleta informações do Google Chrome do seguinte:

  • O arquivo chrome/VERSION (origem da compilação)

  • O arquivo chrome.exe (instalação do Windows Chrome)

  • O arquivo puppeteer (instalação)

Para cada um dos artefatos compatíveis, o Sbomgen analisa e coleta o arquivo chrome ou o arquivo puppeteer. Para instalações do puppeteer, a versão do Chromium correspondente é coletada com base na versão do puppeteer. Consulte mais informações em Supported browsers no site do Puppeteer.

Quando a variável de ambiente PUPPETEER_SKIP_CHROMIUM_DOWNLOAD é definida como true, a avaliação é ignorada e o qualificador skip_chromium_download=true é adicionado ao URL do pacote do Puppeteer.

Exemplo chrome/VERSION arquivo de versão

Veja a seguir um exemplo do arquivo de versão chrome/VERSION. 


MAJOR=130
MINOR=0
BUILD=6723
PATCH=58
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote de um arquivo de versão chrome/VERSION. 

Sample PURL: pkg:generic/google/chrome@131.0.6778.87
Exemplo marionetista arquivo de versão

Veja a seguir um exemplo do arquivo de versão puppeteer. 

{
"name": "puppeteer",
"version": "23.9.0",
"description": "A high-level API to control headless Chrome over the DevTools Protocol",
"keywords": [
  "puppeteer",
  "chrome",
  "headless",
  "automation"
]
}
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote de um arquivo de versão puppeteer. 

Sample PURL: pkg:generic/google/puppeteer@23.9.0
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote com o qualificador skip para um arquivo de versão do puppeteer. 

pkg:generic/google/puppeteer@22.15.0?distro=linux&skip_chromium_download=true

HuggingFace coleção de ecossistemas

Aplicações compatíveis

  • HuggingFacehfCLI

Recursos principais

  • Extrai AI/ML modelos em cache local instalados por HuggingFace

  • Gera URLs de HuggingFace pacotes

  • Modelos baixados usando não hf download --local-dir são suportados atualmente

Exemplo de caminho

Veja a seguir um exemplo de um caminho de HuggingFace modelo em cache. 

/home/ec2-user/.cache/huggingface/hub/models--MiniMaxAI--MiniMax-M2.5/snapshots/<hash>
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote para um HuggingFace modelo. O tipo de componente émachine-learning-model. 

pkg:huggingface/MiniMaxAI/MiniMax-M2.5@<hash>

Java coleção de ecossistemas

Aplicações compatíveis

  • Oracle JDK

  • Oracle JRE

  • Amazon Corretto

Recursos principais

  • Extrai a string da instalação do Java.

  • Identifica o caminho do diretório que contém o runtime do Java.

  • Identifica o fornecedor como Oracle JDK, Oracle JRE e Amazon Corretto.

O Amazon Inspector SBOM Generator verifica instalações do Java nos seguintes caminhos de instalação e plataformas:

  • macOS: /Library/Java/JavaVirtualMachines

  • Linux 32-bit: /usr/lib/jvm

  • Linux 64-bit: /usr/lib64/jvm

  • Linux (generic): /usr/java and /opt/java

Exemplo Java informações sobre a versão

Veja a seguir um exemplo de uma versão do Oracle Java. 


// Amazon Corretto
IMPLEMENTOR="Amazon.com Inc."
IMPLEMENTOR_VERSION="Corretto-17.0.11.9.1"
JAVA_RUNTIME_VERSION="17.0.11+9-LTS"
JAVA_VERSION="17.0.11"
JAVA_VERSION_DATE="2024-04-16"
LIBC="default"
MODULES="java.base java.compiler java.datatransfer java.xml java.prefs java.desktop java.instrument java.logging java.management java.security.sasl java.naming java.rmi java.management.rmi java.net.http java.scripting java.security.jgss java.transaction.xa java.sql java.sql.rowset java.xml.crypto java.se java.smartcardio jdk.accessibility jdk.internal.jvmstat jdk.attach jdk.charsets jdk.compiler jdk.crypto.ec jdk.crypto.cryptoki jdk.dynalink jdk.internal.ed jdk.editpad jdk.hotspot.agent jdk.httpserver jdk.incubator.foreign jdk.incubator.vector jdk.internal.le jdk.internal.opt jdk.internal.vm.ci jdk.internal.vm.compiler jdk.internal.vm.compiler.management jdk.jartool jdk.javadoc jdk.jcmd jdk.management jdk.management.agent jdk.jconsole jdk.jdeps jdk.jdwp.agent jdk.jdi jdk.jfr jdk.jlink jdk.jpackage jdk.jshell jdk.jsobject jdk.jstatd jdk.localedata jdk.management.jfr jdk.naming.dns jdk.naming.rmi jdk.net jdk.nio.mapmode jdk.random jdk.sctp jdk.security.auth jdk.security.jgss jdk.unsupported jdk.unsupported.desktop jdk.xml.dom jdk.zipfs"
OS_ARCH="x86_64"
OS_NAME="Darwin"
SOURCE=".:git:7917f11551e8+"

// JDK
IMPLEMENTOR="Oracle Corporation"
JAVA_VERSION="19"
JAVA_VERSION_DATE="2022-09-20"
LIBC="default"
MODULES="java.base java.compiler java.datatransfer java.xml java.prefs java.desktop java.instrument java.logging java.management java.security.sasl java.naming java.rmi java.management.rmi java.net.http java.scripting java.security.jgss java.transaction.xa java.sql java.sql.rowset java.xml.crypto java.se java.smartcardio jdk.accessibility jdk.internal.jvmstat jdk.attach jdk.charsets jdk.zipfs jdk.compiler jdk.crypto.ec jdk.crypto.cryptoki jdk.dynalink jdk.internal.ed jdk.editpad jdk.hotspot.agent jdk.httpserver jdk.incubator.concurrent jdk.incubator.vector jdk.internal.le jdk.internal.opt jdk.internal.vm.ci jdk.internal.vm.compiler jdk.internal.vm.compiler.management jdk.jartool jdk.javadoc jdk.jcmd jdk.management jdk.management.agent jdk.jconsole jdk.jdeps jdk.jdwp.agent jdk.jdi jdk.jfr jdk.jlink jdk.jpackage jdk.jshell jdk.jsobject jdk.jstatd jdk.localedata jdk.management.jfr jdk.naming.dns jdk.naming.rmi jdk.net jdk.nio.mapmode jdk.random jdk.sctp jdk.security.auth jdk.security.jgss jdk.unsupported jdk.unsupported.desktop jdk.xml.dom"
OS_ARCH="x86_64"
OS_NAME="Darwin"
SOURCE=".:git:53b4a11304b0 open:git:967a28c3d85f"
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote de uma versão do Oracle Java. 


Sample PURL:
# Amazon Corretto
pkg:generic/amazon/amazon-corretto@21.0.3 
# Oracle JDK
pkg:generic/oracle/jdk@11.0.16
# Oracle JRE
pkg:generic/oracle/jre@20

Jenkins coleção de ecossistemas

Aplicações compatíveis

  • Jenkins Core

nota

A avaliação de vulnerabilidade se aplica à Jenkins versão 2.400.* e superior.

Recursos principais

  • Extrai as informações da versão do jenkins.war arquivo lendo o META-INF/MANIFEST.M arquivo, que contém a string da Jenkins versão.

O Amazon Inspector SBOM Generator procura instalações do Jenkins em caminhos de instalação comuns em todas as plataformas:

Linux

  • /usr/share/jenkins/jenkins.war

  • usr/share///java/jenkins.guerra

macOS

  • /opt/homebrew/opt/jenkins-lts/libexec/jenkins.war

Windows

  • /Program Files/Jenkins/Jenkins.war

  • /Program Files (x86)/Jenkins/Jenkins.war

Exemplo de arquivos

Veja a seguir exemplos de jenkins.war/META-INF/MANIFEST.MF arquivos para diferentes versões. 

Manifest-Version: 1.0
Created-By: Maven WAR Plugin 3.4.0
Build-Jdk-Spec: 21
Implementation-Title: Jenkins war
Main-Class: executable.Main
Implementation-Version: 2.516.2
Jenkins-Version: 2.516.2
Manifest-Version: 1.0
Jenkins-Version: 2.414.1
Implementation-Title: Jenkins
Implementation-Version: 2.414.1
Built-By: kohsuke
Created-By: Apache Maven 3.8.6
Exemplos de PURLs

A seguir estão os URLs de pacotes da versão 2.516.2 da versão Jenkins LTS e da versão 2.414 da versão do servidor de automação. Jenkins 

LTS: pkg:generic/jenkins/jenkins-core-lts@2.516.2.1
Regular: pkg:generic/jenkins/jenkins-core@2.414

Kiro CLI coleção de ecossistemas

Aplicações compatíveis

  • Kiro CLI(Assistente de codificação Amazon AI)

Recursos principais

  • Examina o kiro-cli binário (oukiro-cli.appimage) para extrair informações da versão incorporada.

  • Procura cadeias de versões na .rodata seção executável binária (para binários ELF ativadosLinux) ou na __cstring seção (para Mach-O binários ativados). macOS A versão é extraída do padrão de string do agente do usuário do conjunto de AWS ferramentas. Version<X.Y.Z>/

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns entre diferentes plataformas:

Linux

  • ~/.local/bin/kiro-cli

  • /usr/bin/kiro-cli

  • ~/Applications/kiro-cli.appimage

macOS

  • /Applications/Kiro CLI.app/Contents/MacOS/kiro-cli

  • ~/.local/bin/kiro-cli

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do Kiro CLI. 

Sample PURL: pkg:generic/amazon/kiro@1.29.5?distro=linux

MariaDB and MySQL coleção de ecossistemas

MariaDB

Aplicações compatíveis

  • MariaDB Server(10,6+, 11,x, 12,x)

Recursos principais

  • Extrai informações de versão dos binários do servidor de banco de dados e dos arquivos de cabeçalho usando padrões específicos do banco de dados.

  • Identifica o caminho do diretório que contém a instalação do servidor de banco de dados.

  • Distingue automaticamente entre MySQL instalações usando MariaDB a detecção de tipo de arquivo baseada em dados.

O Gerador SBOM procura a MariaDB instalação em caminhos de instalação comuns em todas as plataformas:

Linux

  • /usr/bin/mariadbd

  • /usr/sbin/mariadbd

  • /usr/local/bin/mariadbd

macOS

  • C:/Program Files (x86)/MariaDB/include/mysql/mariadb_version.h (MariaDB)

  • C:/Program Files/MariaDB/include/mysql/mariadb_version.h (MariaDB)

Windows

  • C:/Program Files (x86)/MariaDB/include/mysql/mariadb_version.h (MariaDB)

  • C:/Program Files/MariaDB/include/mysql/mariadb_version.h (MariaDB)

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote para um MariaDB servidor.

# MariaDB Server

pkg:generic/mysql/mariadb-server@10.11.8

MySQL coleção de ecossistemas

Aplicações compatíveis

  • Oracle MySQL Server Server(8,0, 8,4, 9,4+)

Recursos principais

  • Extrai informações de versão dos binários do servidor de banco de dados e dos arquivos de cabeçalho usando padrões específicos do banco de dados.

  • Identifica o caminho do diretório que contém a instalação do servidor de banco de dados.

  • Distingue automaticamente entre MariaDB instalações usando MySQL a detecção de tipo de arquivo baseada em dados.

O Gerador SBOM procura a MySQL instalação em caminhos de instalação comuns em todas as plataformas:

Linux

  • /usr/local/bin/mysqld

  • /usr/bin/mysqld

  • /usr/sbin/mysqld

macOS

  • /usr/local/mysql/include/mysql_version.h (MySQL)

Windows

  • C:/Program Files/MySQL/MySQL Server/include/mysql_version.h (MySQL)

  • C:/Program Files (x86)/MySQL/MySQL Server/include/mysql_version.h (MySQL)

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote para um MySQL servidor.

# Oracle MySQL Server

pkg:generic/mysql/mysql-server@8.0.43

Aplicativos da Microsoft coleção de ecossistemas

Os seguintes aplicativos da Microsoft são inventariados pelo gerador Amazon Inspector SBOM. Devido às limitações na API Microsoft CVRF, as detecções na InspectorScan API são suportadas somente para versões desses aplicativos lançadas em 2021 (ou posteriores). As descobertas serão mapeadas para KBs ou CVEs da Microsoft (quando aplicável).

Aplicativos Microsoft compatíveis (2021+)

  • PowerShell

  • NuGet CLI

  • Visual Studio Code

  • Microsoft Edge

  • SharePoint Server

  • Microsoft Defender

  • Exchange Server

  • Visual Studio

  • .NET Core Runtime

  • .NET Framework

  • ASP.NET Core Runtime

  • Microsoft Teams

  • Outlook for Windows

  • Microsoft Office

  • Microsoft 365

Recursos principais

  • PowerShell— Examina o pwsh.exe arquivo para extrair as informações da versão incorporada.

  • NuGet CLI— Examina o nuget.exe arquivo para extrair as informações da versão incorporada.

  • Visual Studio Code— Examina o Code.exe arquivo para extrair as informações da versão incorporada.

  • Microsoft Edge— Examina o msedge.exe arquivo para extrair as informações da versão incorporada.

  • SharePoint Server— Examina o Microsoft.SharePoint.dll arquivo para extrair as informações da versão incorporada.

  • Microsoft Defender— Examina o MsMpEng.exe arquivo para extrair as informações da versão incorporada.

  • Exchange Server— Examina o Exsetup.exe arquivo para extrair as informações da versão incorporada.

  • Visual Studio— Analisa o state.json arquivo para recuperar a string da versão do catalogInfo.productDisplayVersion campo.

  • .NET Core Runtime— Pesquisa o Microsoft.NETCore.App.deps.json arquivo nos caminhos de instalação e extrai a string da versão do seguinte padrão de caminho de arquivo. 

    Microsoft.NETCore.App/<VERSION>/Microsoft.NETCore.App.deps.json

  • .NET Framework— Analisa o Registro do Windows e lê os metadados do arquivo para detectar as versões instaladas do.NET Framework. O scanner verifica a chave, o valor e os arquivos do registro a seguir.

    • Registry Key(<VERSION_SUB_KEY>representa a versão do.NET Frameworkv2.0.50727, comov3.5, ouv4\Full)

      HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\<VERSION_SUB_KEY>
      HKLM\SOFTWARE\Wow6432Node\Microsoft\NET Framework Setup\NDP\<VERSION_SUB_KEY>

    • Registry Value

      • Install— Indica se a versão do.NET Framework está instalada.

      • Version— Versão instalada do.NET Framework (versão 4.0 ou inferior)

      • Release— Um REG_DWORD valor que mapeia para a versão instalada do.NET Framework (versão 4.5 ou posterior)

    • DLL Files

      O scanner extrai a versão do arquivo de mscorlib.dll e. System.dll Se esses arquivos existirem, eles serão adicionados ao SBOM como componentes de arquivo aninhados. Para o.NET Framework versão 4.5 ou posterior, a maior versão de arquivo entre os arquivos é relatada como a versão.

  • ASP.NET Core Runtime— Pesquisa o Microsoft.AspNetCore.App.deps.json arquivo nos caminhos de instalação e extrai a string da versão do seguinte padrão de caminho de arquivo. 

    Microsoft.AspNetCore.App/<VERSION>/Microsoft.AspNetCore.App.deps.json

  • Outlook for Windows— Analisa o Registro do Windows e extrai a versão da seguinte chave de registro. 

    HKLM\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\PackageRepository\Packages\Microsoft.OutlookForWindows_<VERSION>_<ARCH>__8wekyb3d8bbwe

  • Microsoft Teams— Analisa o Registro do Windows e extrai a versão da seguinte chave de registro. 

    HKLM\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\PackageRepository\Packages\MSTeams_<VERSION>_<ARCH>__8wekyb3d8bbwee

  • Microsoft Office 365 / Microsoft 365— Analisa o Registro do Windows e extrai a versão da seguinte chave e valor do registro.

    • Chave de registro

      HKLM\SOFTWARE\Microsoft\Office\ClickToRun\Configuration

    • Valor do registro

      • VersionToReport— Versão Microsoft Office

      • ProductReleaseIds— Lista de IDs de produtos. Isso é usado para identificar os produtos do Office instalados. Para obter mais informações sobre IDs de produtos, consulte product IDsno Microsoft site.

  • Microsoft Office Suite— Coleta cada aplicativo do Office instalado examinando os seguintes arquivos executáveis:

    • EXCEL.EXE – Microsoft Excel

    • WINWORD.EXE – Microsoft Word

    • POWERPNT.EXE – Microsoft PowerPoint

    • OUTLOOK.EXE – Microsoft Outlook

    O número da versão no Registro do Windows é usado como número de versão oficial para cada aplicativo do Office instalado.

Exemplo state.json arquivo

A seguir está um exemplo de um state.json arquivo a ser usado para coletar a Visual Studio versão instalada. 

{
    "icon": {
        "mimeType": "image/svg+xml",
        "fileName": "product.svg"
    },
    "updateDate": "2025-11-06T05:05:35.6517471Z",
    "installDate": "2025-11-06T05:05:35.6527436Z",
    "enginePath": "C:\\Program Files (x86)\\Microsoft Visual Studio\\Installer\\resources\\app\\ServiceHub\\Services\\Microsoft.VisualStudio.Setup.Service",
    "installationName": "VisualStudio/17.14.19+36623.8",
    "catalogInfo": {
        "id": "VisualStudio/17.14.19+36623.8",
        "buildBranch": "d17.14",
        "buildVersion": "17.14.36623.8",
        "localBuild": "build-lab",
        "manifestName": "VisualStudio",
        "manifestType": "installer",
        "productDisplayVersion": "17.14.19",
// truncated

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote para cada umMicrosoft Applications. 

// PowerShell
Sample PURL: pkg:generic/microsoft/powershell@7.5.3

// NuGet CLI
Sample PURL: pkg:generic/microsoft/nuget@6.14.0

// Visual Studio Code
Sample PURL: pkg:generic/microsoft/visualstudiocode@1.104.2

// Microsoft Edge
Sample PURL: pkg:generic/microsoft/edge@140.0.3485.94

// SharePoint Server
Sample PURL: pkg:generic/microsoft/sharepoint@23.38.219.1

// Microsoft Defender
Sample PURL: pkg:generic/microsoft/defender@4.18.23110.3

// Exchange Server
Sample PURL: pkg:generic/microsoft/exchangeserver@15.2.2562.17

// Visual Studio
Sample PURL: pkg:generic/microsoft/visualstudio@17.14.19

// .NET Core Runtime
Sample PURL: pkg:generic/microsoft/dotnet@8.0.18

// .NET Framework
Sample PURL: pkg:generic/microsoft/dotnet-framework-v4.8.1@4.8.9320.0

// ASP.NET Core Runtime
Sample PURL: pkg:generic/microsoft/aspdotnet@8.0.18

// Microsoft Teams
Sample PURL: pkg:generic/microsoft/teams@25241.203.3947.4411

// Outlook for Windows
Sample PURL: pkg:generic/microsoft/outlookforwindows@1.2025.916.400                    

// Microsoft 365 / Office 365
Sample PURL: pkg:generic/microsoft/office@16.0.19127.20264?product_ids=O365HomePremRetail

// Microsoft Word
Sample PURL: pkg:generic/microsoft/word@16.0.19127.20264

// Microsoft Excel
Sample PURL: pkg:generic/microsoft/excel@16.0.19127.20264

// Microsoft PowerPoint
Sample PURL: pkg:generic/microsoft/powerpoint@16.0.19127.20264

// Microsoft Outlook
Sample PURL: pkg:generic/microsoft/outlook@16.0.19127.20264

Microsoft SQL Server coleção de ecossistemas

Aplicações compatíveis

  • Microsoft SQL Server

Recursos principais

  • Lê o Windows registro para descobrir Microsoft SQL Server instâncias instaladas e extrair informações da versão.

  • Detecta instâncias por meio de um processo de duas etapas: lê o InstalledInstances valor, resolve cada caminho de instância a partir da Instance Names\SQL subchave e, em seguida, lê as informações de configuração da subchave de cada instância. Setup

  • Coleta o nome da instância, a versão base, o nível do patch, a edição, o service pack (se houver) e o caminho da chave do registro.

  • A versão do componente e o PURL usam o nível do patch (número completo da compilação).

Plataformas suportadas — Windows

O Amazon Inspector SBOM Generator lê a seguinte chave de Windows registro para descobrir instâncias instaladas: 

HKLM\SOFTWARE\Microsoft\Microsoft SQL Server

O scanner lê o InstalledInstances valor para enumerar instâncias, resolve cada caminho de instância a partir da subchave e, em seguida, lê as informações de configuração da Instance Names\SQL subchave de cada instância. Setup

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote para uma Microsoft SQL Server instância. 

pkg:generic/microsoft/sqlserver@16.0.1000.6

MongoDB coleção de ecossistemas

Aplicações compatíveis

  • MongoDB Server(7,0+, 8,0+)

Recursos principais

  • Examine binários mongod para extrair informações de versão incorporadas.

nota

O mongod binário pode exceder 200 MB de tamanho. Para verificarMongoDB, o limite de tamanho de arquivo do Amazon Inspector SBOM Generator deve ser configurado para permitir arquivos com mais de 200 MB.

O Amazon Inspector SBOM Generator procura MongoDB instalações em caminhos de instalação comuns em todas as plataformas:

Linux

  • /usr/bin/mongod

  • /usr/local/bin/mongod

macOS

  • /usr/local/bin/mongod

  • /opt/homebrew/bin/mongod

Windows

  • C:\Program Files\MongoDB\Server\bin\mongod.exe

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do MongoDB Server. 

pkg:generic/mongodb/mongodb-server@8.2.4?platform=linux

Nginx coleção de ecossistemas

Aplicações compatíveis

  • Nginx

Plataformas compatíveis

As plataformas a seguir são compatíveis.

Linux

  • /usr/sbin/nginx

  • /usr/local/nginx

  • /usr/local/etc/nginx

  • /usr/local/nginx/nginx

  • /usr/local/nginx/sbin/nginx

  • /etc/nginx/nginx

Windows

  • C:\nginx\nginx.exe

  • C:\nginx-x.y.z\nginx.exe (x.y.z é uma versão arbitrária)

macOS

  • /usr/local/etc/nginx/nginx

Recursos principais

Essa coleção examina os binários para extrair informações da versão incorporada. Ele pesquisa strings de versões na seção .rodata do executável binário (para binários ELF em Linux), na seção .rdata (para binários PE em Windows) ou na seção __ctring (para binários MachO).

Exemplo de string de versão

Veja a seguir um exemplo de string de versão incorporada em um binário Nginx. 

nginx version: nginx/1.27.5

A versão 1.27.5 é extraída para identificar a versão do Nginx.

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do Nginx. 

Sample PURL: pkg:generic/nginx/nginx@1.27.5

Node.JS coleção de tempo de execução

Aplicações compatíveis

  • Binário de runtime do nó para Node.JS

Plataformas compatíveis

A seguir estão as plataformas suportadas. (* é uma versão arbitrária)

Linux

  • /usr/local/bin/node

  • /usr/bin/nó

  • /nodejs/bin/nó

  • ~/. nvm/versions/nó/ */ bin/node

  • ~/. local/share/fnm/nodeinstallation/bin-versões/*/ /node

  • ~/. asdf/installs/nodejs/ */ bin/node

  • ~/. local/share/mise/installs/nó/ */ bin/node

  • ~/.volta/tools/image/node/*/bin/node

Windows

  • C:\Program Files\nodejs\node.exe

  • C:\Program Files (x86)\nodejs\node.exe

  • ~\AppData\ Roaming\ fnm\nversões de código\ *\ instalação\node.exe

macOS

  • /opt/homebrew/Cellar/node/*/bin/node

Recursos principais

Essa coleção examina os binários para extrair informações da versão incorporada. Ele pesquisa strings de versões na seção .rodata do executável binário (para binários ELF em Linux), na seção .rdata (para binários PE em Windows) ou na seção __ctring (para binários MachO).

Exemplo de string de versão

Veja a seguir um exemplo de uma string de versão incorporada em um binário Node.JS de tempo de execução. 

node.js/v24.11.1

A versão 24.11.1 é extraída para identificar a versão em Node.JS tempo de execução.

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do Node.JS. 

Sample PURL: pkg:generic/nodejs/node@24.11.1

Ollama coleção de ecossistemas

Aplicações compatíveis

  • Ollama(tempo de execução local do LLM)

Recursos principais

  • Examina o ollama binário (ou ollama.exe ativadoWindows) para extrair informações da versão incorporada.

  • Ollamaé um Go binário com a versão injetada no momento da compilação via-ldflags -X, que aparece na seção de dados do binário como uma string com prefixo til (por exemplo,). ~0.21.0 Em Homebrew macOS binários criados, a versão pode, alternativamente, estar presente nas informações de compilação do Go módulo como. ollama\tv<version>

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns entre diferentes plataformas:

Linux

  • /usr/local/bin/ollama

  • /usr/bin/ollama

  • ~/.local/bin/ollama

macOS

  • /Applications/Ollama.app/Contents/MacOS/ollama

  • /usr/local/bin/ollama

  • /opt/homebrew/bin/ollama

Windows

  • %LOCALAPPDATA%\Programs\Ollama\ollama.exe

  • %ProgramFiles%\Ollama\ollama.exe

Exemplo de string de versão

Veja a seguir um exemplo de string de versão incorporada em um binário Ollama. 

~0.21.0

A versão 0.21.0 é extraída para identificar a versão do Ollama.

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do Ollama. 

Sample PURL: pkg:generic/ollama/ollama@0.21.0?distro=linux

Colecionador de modelos Ollama coleção de ecossistemas

Aplicações compatíveis

  • Ollama CLI

Recursos principais

  • Extrai AI/ML modelos em cache local instalados por Ollama

  • Gera URLs de Ollama pacotes

Exemplo de caminho

Veja a seguir um exemplo de um caminho de Ollama modelo em cache. 

/usr/share/ollama/.ollama/models/manifests/registry.ollama.ai/library/gemma4/latest
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote para um Ollama modelo. O tipo de componente émachine-learning-model. 

pkg:ollama/gemma4@<hash>

Coleta de ecossistemas do OpenSSH

Aplicações compatíveis

  • OpenSSH (versão 9)

  • OpenSSH (versão 10)

Plataformas suportadas Linux/macOS

  • /usr/sbin/sshd

  • /usr/local/sbin/sshd

Plataformas Windows compatíveis

  • C:/Windows/System32/OpenSSH/sshd.exe

  • C:/Program Files/OpenSSH/sshd.exe

  • C:/Program Files (x86)/OpenSSH/sshd.exe

  • C:/OpenSSH/sshd.exe

Recursos principais

  • Examine binários sshd para extrair informações de versão incorporadas.

  • Procura cadeias de versões na .rodata seção executável binária (para binários ELF ativadosLinux, __cstring seção (para Mach-O binários ativadosMacOs) ou .rdata seção (para binários PE ativados). Windows

Exemplo de string de versão

Veja a seguir um exemplo de string de versão incorporada em um binário OpenSSH. 

OpenSSH_9.9p2

A versão 9.9p2 é extraída para identificar a versão do OpenSSH.

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do OpenSSH. 

Sample PURL: pkg:generic/openssh/openssh@9.9p2

Coleta de ecossistema OpenSSL

Aplicações compatíveis

O suporte para bibliotecas e pacotes de desenvolvimento do OpenSSL é limitado ao software criado com o OpenSSL oficial para versões 3.0.0 e posterior. O software também deve seguir o versionamento semântico. Variantes personalizadas ou bifurcadas do OpenSSL e versões anteriores à 3.0.0 não são compatíveis.

O Amazon Inspector SBOM Generator extrai as principais informações do pacote para cada instância OpenSSL instalada.

Recursos principais

  • Extrai a string base da versão SEMVER do arquivo de cabeçalho OpenSSL

  • Identifica o caminho do diretório que contém a instalação do OpenSSL

O Amazon Inspector SBOM Generator procura instalações do OpenSSL verificando o arquivo opensslv.h em caminhos de instalação comuns entre plataformas.

Exemplo de caminho de instalação para Linux/Unix

A seguir está um exemplo de caminho de instalação para Linux/Unix. 

/usr/local/include/openssl/opensslv.h
/usr/local/ssl/include/openssl/opensslv.h
/usr/local/openssl/include/openssl/opensslv.h
/usr/local/opt/openssl/include/openssl/opensslv.h
/usr/include/openssl/opensslv.h

O Amazon Inspector SBOM Generator extrai informações da versão analisando o arquivo opensslv.h e procurando as definições da versão. 

# define OPENSSL_VERSION_MAJOR  3
# define OPENSSL_VERSION_MINOR  4
# define OPENSSL_VERSION_PATCH  0
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote para a versão OpenSSL. 

Sample PURL: pkg:generic/openssl/openssl@3.4.0

Coleta do Oracle Database Server

Aplicações compatíveis

  • Oracle Database

Plataformas Linux compatível

  • /opt/oracle

  • /u01/app/oracle

nota

A avaliação de vulnerabilidade aplica-se somente ao Oracle Database Server versão 19 e posterior.

Recursos principais

  • Examine binários Oracle para extrair informações de versão incorporadas.

  • Procura strings de versões na seção .rodata de executáveis binários (para binários ELF no Linux).

  • As informações da versão seguem um formato específico que inclui a string de versão do RDBMS.

Exemplo de string de versão

Veja a seguir um exemplo de string de versão incorporada em um binário Oracle Database: 

RDBMS_23.7.0.25.01DBRU_LINUX.X64_240304

A versão 23.7.0.25.01 é extraída para identificar a versão do Oracle Database.

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do Oracle Database. 

Sample PURL: pkg:generic/oracle/database@23.7.0.25.01

PHP coleção de ecossistemas

Aplicações compatíveis

  • PHP(versão 8.1 e superior)

Recursos principais

  • Extrai informações de versão de executáveis PHP binários usando cadeias de caracteres de versão incorporadas.

  • Identifica o caminho do diretório que contém o PHP binário.

  • Detecta automaticamente PHP binários padrão e instalações com versão, comophp8.1, e. php8.2 php8.3

O Amazon Inspector SBOM Generator procura PHP instalações em caminhos de instalação comuns em todas as plataformas:

Linux

  • usr/bin/php8.1 through /usr/bin/php8.9

  • /usr/sbin/php8.1 through /usr/sbin/php8.9

  • /usr/local/bin/php, /usr/bin/php, /usr/sbin/php

  • /usr/local/bin/php8.1 through /usr/local/bin/php8.9(binários versionados)

macOS

  • /opt/homebrew/bin/php

  • /usr/bin/php

  • /usr/local/bin/php

Windows

  • C:/php/php.exe

  • C:/php8.1/php.exe through C:/php8.9/php.exe(diretórios versionados)

Exemplo PHP extração de versão

O Amazon Inspector SBOM Generator extrai informações de versão de PHP binários pesquisando cadeias de versões incorporadas usando o seguinte padrão. 

X-Powered-By: PHP/8.4.12

8.4.12é extraído desse padrão para identificar a PHP versão.

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote para um PHP padrão. 

pkg:generic/php/php@8.4.12

Redis coleção de ecossistemas

Aplicações compatíveis

  • Redis(versão 7.2 e superior)

Recursos principais

  • Extrai informações de versão de executáveis Redis redis-server binários usando cadeias de caracteres de versão incorporadas.

  • Pesquisa cadeias de versões na .rodata seção executável binária (para binários ELF ativadosLinux) ou na __cstring seção (para Mach-O binários ativados). macOS

O Amazon Inspector SBOM Generator procura Redis instalações em caminhos de instalação comuns em todas as plataformas:

Linux

  • /usr/bin/redis-server

  • /usr/local/bin/redis-server

macOS

  • /opt/homebrew/bin/redis-server

  • /usr/local/bin/redis-server

Exemplo de string de versão

Veja a seguir um exemplo de uma string de versão incorporada em um Redis binário. 

redis-7.2.6

A versão 7.2.6 é extraída para identificar a versão do Redis.

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do Redis. 

pkg:generic/redis/redis@7.2.6

Windsurf coleção de ecossistemas

Aplicações compatíveis

  • Windsurf(porCodeium)

Recursos principais

  • Examina as instalações deWindsurf, um editor de código de IA Electron baseado em. Codeium Extrai a versão do manifesto resources/app/package.json Electron do aplicativo.

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns entre diferentes plataformas:

Linux

  • /usr/share/windsurf/

  • /usr/bin/windsurf

Windows

  • %LOCALAPPDATA%\Programs\windsurf\

  • <SystemDrive>\Program Files\Windsurf\

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do Windsurf. 

Sample PURL: pkg:generic/codeium/windsurf@1.10.5?distro=linux

WordPress coleção de ecossistemas

Componentes compatíveis

  • WordPress Core

  • Plug-ins do WordPress

  • Temas do WordPress

Recursos principais

  • Núcleo do WordPress: analisa o arquivo /wp-includes/version.php para extrair o valor da versão da variável $wp_version.

  • Plug-ins do WordPress: analisa o arquivo /wp-content/plugins/<WordPress Plugin>/readme.txt ou /wp-content/plugins/<WordPress Plugin>/readme.md para extrair a tag Stable como a string da versão.

  • Temas do WordPress: analisa o arquivo /wp-content/themes/<WordPress Theme>/style.css para extrair a versão dos metadados da versão.

Exemplo version.php arquivo

Veja a seguir um exemplo de um arquivo version.php do núcleo do WordPress. 


// truncated

/**
* The WordPress version string.
*
* Holds the current version number for WordPress core. Used to bust caches
* and to enable development mode for scripts when running from the /src directory.
*
* @global string $wp_version
*/
$wp_version = '6.5.5';

// truncated
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do núcleo do WordPress. 


Sample PURL: pkg:generic/wordpress/core/wordpress@6.5.5
Exemplo readme.txt arquivo

Veja a seguir um exemplo de um arquivo readme.txt do plug-in do WordPress. 


=== Plugin Name ===
Contributors: (this should be a list of wordpress.org userid's)
Donate link: https://example.com/
Tags: tag1, tag2
Requires at least: 4.7
Tested up to: 5.4
Stable tag: 4.3
Requires PHP: 7.0
License: GPLv2 or later
License URI: https://www.gnu.org/licenses/gpl-2.0.html

// truncated
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote para um plug-in do WordPress. 


Sample PURL: pkg:generic/wordpress/plugin/exclusive-addons-for-elementor@1.0.0
Exemplo style.css arquivo

Veja a seguir um exemplo de um arquivo style.css do tema do WordPress. 


/*
Author: the WordPress team
Author URI: https://wordpress.org
Description: Twenty Twenty-Four is designed to be flexible, versatile and applicable to any website. Its collection of templates and patterns tailor to different needs, such as presenting a business, blogging and writing or showcasing work. A multitude of possibilities open up with just a few adjustments to color and typography. Twenty Twenty-Four comes with style variations and full page designs to help speed up the site building process, is fully compatible with the site editor, and takes advantage of new design tools introduced in WordPress 6.4.
Requires at least: 6.4
Tested up to: 6.5
Requires PHP: 7.0
Version: 1.2
License: GNU General Public License v2 or later
License URI: http://www.gnu.org/licenses/gpl-2.0.html
Text Domain: twentytwentyfour
Tags: one-column, custom-colors, custom-menu, custom-logo, editor-style, featured-images, full-site-editing, block-patterns, rtl-language-support, sticky-post, threaded-comments, translation-ready, wide-blocks, block-styles, style-variations, accessibility-ready, blog, portfolio, news
*/
Exemplo de PURL

Veja a seguir um exemplo de URL de pacote de um tema do WordPress. 


Sample PURL: pkg:generic/wordpress/theme/avada@1.0.0

Zed coleção de ecossistemas

Aplicações compatíveis

  • Zed(porZed Industries)

Recursos principais

  • Examina o Zed binário autônomo distribuído por. Zed Industries

  • Zedé um Rust binário sem manifesto. A versão é extraída de uma string constante incorporada no binário.

Plataformas compatíveis

O Amazon Inspector SBOM Generator verifica instalações em caminhos de instalação comuns entre diferentes plataformas:

Linux

  • /usr/bin/zed

  • /usr/local/bin/zed

  • ~/.local/bin/zed

Windows

  • %LOCALAPPDATA%\Zed\

  • <SystemDrive>\Program Files\Zed\

Exemplo de PURL

Veja a seguir um exemplo de URL de pacote do Zed. 

Sample PURL: pkg:generic/zed-industries/zed@1.2.6?distro=linux